*原文來源于:廣州銀行信用卡中心落地零信任的經(jīng)驗(yàn)分享《廣州銀行信用卡中心業(yè)務(wù)高韌性發(fā)展,背后的安全密碼》,作者:胡志鋒、陳曉嵐、翁靜光
https://mp.weixin.qq.com/s/2PMjBmYou7ZuyiuMFrplYA
“電銷同事們都不能入場辦公了,業(yè)務(wù)該如何正常開展?”
面對區(qū)域臨時管控措施,廣州銀行信用卡中心迅速開展行動。在不改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)架構(gòu)的模式下,當(dāng)天即上線基于零信任架構(gòu)的安全遠(yuǎn)程辦公空間。
短短2天,這套方案覆蓋2000多中后臺業(yè)務(wù)人員,1000多外呼和電銷坐席規(guī)模,催收遠(yuǎn)程外呼產(chǎn)能均超92%,電營遠(yuǎn)程外呼各業(yè)務(wù)項(xiàng)目產(chǎn)能從74%提升到91%。
在常態(tài)化遠(yuǎn)程辦公期間,業(yè)務(wù)部門主動反饋:中后臺的審批效率提升100%,使用體驗(yàn)媲美現(xiàn)場辦公。
這一幕幕正在向更多組織單位表明:常態(tài)化遠(yuǎn)程辦公安全與業(yè)務(wù)高韌性發(fā)展,早就不是二選一的關(guān)系。
“兩手抓”的背后,是廣州銀行卡中心攜手深信服,落地了一套創(chuàng)新前沿、簡單有效的零信任遠(yuǎn)程辦公安全方案,確保了業(yè)務(wù)一刻未停擺,挽回經(jīng)濟(jì)利益超15億,以科技賦能業(yè)務(wù)價值。
一、數(shù)字化轉(zhuǎn)型背景下,辦公安全建設(shè)迫在眉睫
廣州銀行總行以數(shù)字化發(fā)展戰(zhàn)略為引領(lǐng),在2018年就確立了“金融科技賦能”的核心理念。卡中心在數(shù)字化轉(zhuǎn)型探索實(shí)踐中,對內(nèi)加大資源投入力度,不斷在技術(shù)應(yīng)用方面強(qiáng)化保障和尋求科技賦能。
當(dāng)前遠(yuǎn)程辦公已經(jīng)內(nèi)化為企業(yè)辦公的常態(tài)模式,電銷、催收業(yè)務(wù)對效能的訴求日益增長,擺在廣州銀行卡中心面前的難關(guān)是:如何通過新技術(shù)突破,保障安全辦公與便捷體驗(yàn),實(shí)現(xiàn)業(yè)務(wù)高韌性發(fā)展?
二、呼叫業(yè)務(wù)場景復(fù)雜,遠(yuǎn)程辦公安全挑戰(zhàn)重重
廣州銀行卡中心深入梳理了遠(yuǎn)程辦公安全面臨的挑戰(zhàn):
1. 大量呼叫業(yè)務(wù)遠(yuǎn)程質(zhì)量差。
呼叫業(yè)務(wù)場景下主要為UDP包,在遠(yuǎn)程場景下,傳統(tǒng)技術(shù)難以保障外呼業(yè)務(wù)整體質(zhì)量與流暢性。
2. 業(yè)務(wù)暴露面大。
安全邊界被打破,常規(guī)VPN 接入手段需要將業(yè)務(wù)系統(tǒng)直接發(fā)布在互聯(lián)網(wǎng)上,業(yè)務(wù)暴露面過大、安全隱患高。
3.遠(yuǎn)程環(huán)境下缺乏對終端基線的檢測。
一線員工統(tǒng)一配備PC端,但離網(wǎng)場景下難以管控每一臺終端的防病毒軟件、補(bǔ)丁情況,無法保證接入行內(nèi)的終端安全性。
4. 遠(yuǎn)程接入場景數(shù)據(jù)易泄露。
在傳統(tǒng)遠(yuǎn)程接入手段下,數(shù)據(jù)在終端有沒有被違規(guī)使用或泄露完全不可管控,很難保證數(shù)據(jù)安全。
5. 呼叫業(yè)務(wù)數(shù)據(jù)異構(gòu)。
卡中心現(xiàn)有催收、電銷、客服三條呼叫業(yè)務(wù),三大條線技術(shù)異構(gòu)模式并發(fā)總數(shù)高達(dá)1000多坐席量,業(yè)務(wù)量龐大,包括常規(guī)業(yè)務(wù)發(fā)卡、賬單分期、業(yè)務(wù)咨詢、保險、訴訟等,復(fù)雜度可想而知。在遠(yuǎn)程接入的模式下,不僅要保證承載瓶頸和通話質(zhì)量,還要統(tǒng)一接入管理,特別是如何在兼容異構(gòu)下,保障呼叫平臺和各平臺對于請求和回包的質(zhì)量。
三、跨越技術(shù)難關(guān),如何實(shí)現(xiàn)簡單有效落地?
經(jīng)前期充分調(diào)研與準(zhǔn)備,廣州銀行信用卡中心選擇與深信服共同打磨有效落地方案:構(gòu)建一套基于零信任架構(gòu)和沙箱模式的遠(yuǎn)程辦公安全解決方案。
這套方案融合SDP軟件定義邊界和終端數(shù)據(jù)安全沙箱,基于豐富的認(rèn)證手段與持續(xù)檢測終端安全基線,將終端劃分不同的工作空間,利用網(wǎng)關(guān)和控制中心實(shí)現(xiàn)強(qiáng)認(rèn)證以及數(shù)據(jù)不落地。在充分保障員工遠(yuǎn)程辦公體驗(yàn)同時,滿足遠(yuǎn)程接入安全和數(shù)據(jù)安全。
盡管零信任相關(guān)理念已發(fā)展多年,據(jù)Gartner研究,目前僅有不到1%的大企業(yè)真正實(shí)現(xiàn)了成熟的、可衡量的零信任計(jì)劃。原因在于,零信任落地既要基于現(xiàn)有網(wǎng)絡(luò)架構(gòu)平滑升級,保障簡單有效,又要不影響每一位員工的辦公體驗(yàn),需要跨越重重難關(guān)。
為了攻克難關(guān),卡中心從中后臺業(yè)務(wù)到一線業(yè)務(wù)的對接調(diào)研、壓力測試驗(yàn)證,優(yōu)化軟電話模式,最終在外呼和電銷業(yè)務(wù)上逐步實(shí)現(xiàn)了零信任的有效落地。
1.收斂暴露面。基于零信任aTrust的SPA單包授權(quán)技術(shù)實(shí)現(xiàn)業(yè)務(wù)隱身,為每一個合法用戶分發(fā)SPA安全碼,通過“一人一碼”機(jī)制實(shí)現(xiàn)SPA的順利推廣,有效收斂了電銷、外呼業(yè)務(wù)在遠(yuǎn)程訪問場景下的互聯(lián)網(wǎng)暴露面,大大降低安全隱患。
2. 基于認(rèn)證場景的雙因素認(rèn)證。如首次登錄、新終端登錄、閑置賬號登錄等場景,針對后臺高敏業(yè)務(wù)實(shí)現(xiàn)按需的雙因素增強(qiáng)認(rèn)證,在確保使用體驗(yàn)的前提下最大限度保障安全性。
3.增加終端認(rèn)證。催收和電銷業(yè)務(wù)的員工統(tǒng)一使用行業(yè)派發(fā)的終端,通過零信任aTrust的終端管理能力,統(tǒng)一收集終端信息,為每一個終端生成唯一的終端硬件特征碼(設(shè)備指紋),建立授信終端庫,實(shí)現(xiàn)基于終端的認(rèn)證,避免非授權(quán)終端的隨意接入,同時通過授信終端免二次認(rèn)證等簡化合法終端的認(rèn)證流程。
4. 提升訪問可靠性。三大呼叫業(yè)務(wù)架構(gòu)框架采用的呼叫線路各異,有SIP線路又有E1線路,涵蓋三大運(yùn)營商,呼叫平臺還存在老舊共用以及傳輸協(xié)議不一致等問題。對于前端的接入,除了考慮請求接入質(zhì)量,還要做好回包鏈路的質(zhì)量和運(yùn)營商鏈路分發(fā)。方案充分考慮呼叫業(yè)務(wù)的流量特征,通過底層隧道技術(shù)的優(yōu)化,實(shí)現(xiàn)對UDP、SIP協(xié)議的適配和流量轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)模式下統(tǒng)一網(wǎng)關(guān)接管了前端入口,在呼叫小包傳輸效率等方面均有一定提升,保障了外呼業(yè)務(wù)跨互聯(lián)網(wǎng)遠(yuǎn)程訪問的可靠性與流暢度。
5.建立業(yè)務(wù)訪問的安全基線,實(shí)現(xiàn)動態(tài)訪問控制。在員工訪問業(yè)務(wù)的過程中,通過零信任aTrust建立安全基線,實(shí)時觀測終端環(huán)境變化、訪問行為變化,如終端安全軟件的運(yùn)行狀態(tài)、系統(tǒng)補(bǔ)丁更新情況、訪問業(yè)務(wù)的進(jìn)程情況等,一旦觸發(fā)安全基線處置條件,即可實(shí)現(xiàn)對應(yīng)處置如禁止訪問、注銷登錄或凍結(jié)賬號等,確保業(yè)務(wù)訪問過程的安全性。
6.實(shí)現(xiàn)終端數(shù)據(jù)保護(hù)。通過零信任aTrust的終端數(shù)據(jù)安全沙箱技術(shù),在終端構(gòu)建安全隔離的工作空間,實(shí)現(xiàn)對終端數(shù)據(jù)的加密、隔離、防外發(fā)、防截屏錄屏等數(shù)據(jù)泄密防護(hù),同時不犧牲用戶體驗(yàn),沙箱以懸浮窗的方式嵌入到現(xiàn)有桌面,極大提高了中后臺交流效率。
四、落地有聲,賦能業(yè)務(wù)高韌性發(fā)展
1.保障員工體驗(yàn),運(yùn)營數(shù)據(jù)超出預(yù)估指標(biāo)。通過遠(yuǎn)程接入進(jìn)行業(yè)務(wù)呼叫,對網(wǎng)絡(luò)質(zhì)量的要求非常之高。同時呼叫業(yè)務(wù)場景業(yè)務(wù)敏感度較高,正常的遠(yuǎn)程外呼受制于業(yè)務(wù)人員環(huán)境和復(fù)雜的業(yè)務(wù)場景,遠(yuǎn)程接入無疑增加了鏈路消耗和對小包處理的挑戰(zhàn)。但卡中心在一周內(nèi)完成1200坐席和1500個中后臺遠(yuǎn)程辦公切換,通過靈活可調(diào)的認(rèn)證策略、懸浮窗沙箱、隧道技術(shù)優(yōu)化等提升員工遠(yuǎn)程辦公體驗(yàn)。疫情期間遠(yuǎn)程外呼的單日運(yùn)營情況數(shù)據(jù)整體超出預(yù)估指標(biāo),靈活提高了生產(chǎn)力。
2.業(yè)務(wù)接入安全與終端數(shù)據(jù)防護(hù)“兩手抓”。通過零信任SDP軟件定義邊界技術(shù)架構(gòu),重建訪問安全邊界,從終端、身份、權(quán)限、行為到業(yè)務(wù)發(fā)布,實(shí)現(xiàn)全流程訪問安全;通過安全沙箱,重建數(shù)據(jù)安全邊界,實(shí)現(xiàn)終端數(shù)據(jù)落地后的安全保護(hù)和防泄密,由此實(shí)現(xiàn)業(yè)務(wù)接入安全與終端數(shù)據(jù)防護(hù)“兩手抓”,保障了兩個月的疫情封控期間的業(yè)務(wù)連續(xù)性。
3.數(shù)據(jù)不落地,全面提升業(yè)務(wù)合規(guī)安全。保障業(yè)務(wù)的前提下,通過安全沙箱確保數(shù)據(jù)不落地,在資源的授權(quán)上快速制定了申請審批指南和要求,對高風(fēng)險的業(yè)務(wù)進(jìn)行了綁定操作,確保遠(yuǎn)程辦公的合規(guī)安全。
五、持續(xù)優(yōu)化,安全體驗(yàn)與效果再進(jìn)一步
后疫情時代下,為持續(xù)探索數(shù)字化轉(zhuǎn)型發(fā)展,廣州銀行信用卡中心將繼續(xù)優(yōu)化遠(yuǎn)程辦公的管理、流程機(jī)制,順應(yīng)金融監(jiān)管合規(guī)發(fā)展,保障員工便捷辦公體驗(yàn)。
零信任安全建設(shè)無法一蹴而就,需要統(tǒng)一規(guī)劃、分步落地。未來,廣州銀行卡中心還將利用該方案優(yōu)異的擴(kuò)展性,推進(jìn)內(nèi)網(wǎng)辦公安全建設(shè),提供內(nèi)外網(wǎng)一致的訪問體驗(yàn),解決內(nèi)網(wǎng)權(quán)限管控腐化等問題,實(shí)現(xiàn)基于身份的訪問控制和動態(tài)評估,讓安全體驗(yàn)與效果往前再邁進(jìn)一步。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )